Se prémunir contre les logiciels malveillants

Pour ne plus subir les attaques des logiciels malveillants, une vigilance de tous les instants est nécessaire. Cet article contient des conseils et des indications pour éviter qu'un site ne soit infecté. Il n'est toutefois pas exhaustif. Nous vous encourageons donc à effectuer des recherches plus approfondies de votre côté.

Contrôle de l'état de santé de votre site

De nombreuses fonctionnalités présentes dans la Search Console peuvent vous aider à identifier les problèmes potentiels. Exemple :

  • Effectuez une recherche Google avec l'opérateur site: pour consulter les pages de votre site que Google a identifiées. Nous vous conseillons de réaliser cette recherche régulièrement pour vous assurer que personne n'ajoute de pages ou de contenus inattendus sur votre site. Si vous trouvez des pages ou des sujets qui ne devraient pas y être, il se peut qu'il ait été piraté. Si vous ne maîtrisez pas encore l'opérateur de recherche site:, sachez qu'il permet de limiter votre recherche à un site précis. Par exemple, la recherche site:googleblog.blogspot.com affiche uniquement les résultats qui proviennent de notre blog officiel.
  • Le rapport sur les problèmes de sécurité indique les pages piratées que Google a identifiées sur votre site et vous fournit des instructions afin de résoudre les problèmes détectés.
  • Si nous détectons des logiciels malveillants sur votre site, vous recevez une notification sur la page d'accueil de la Search Console et un e-mail dans votre Centre de messagerie. Si vous souhaitez être averti rapidement, vous pouvez activer le transfert des messages du Centre de messagerie vers votre messagerie électronique.

Liste de contrôle de sécurité

En plus du contrôle régulier de votre site, nous vous invitons à suivre ces quelques recommandations :

Tous les webmasters

  • Choisissez des mots de passe efficaces. Consultez les consignes relatives à la création d'un compte Google sécurisé pour en savoir plus.
  • Choisissez vos fournisseurs de contenu tiers avec soin. Soyez très prudent si vous avez l'intention d'installer une application fournie par un tiers, comme un widget, un compteur ou un réseau publicitaire. L'espace réservé aux annonces est souvent occupé par du contenu proposé par des tiers qui ne sont pas connus du propriétaire de site Web. Bien qu'il existe de nombreux fournisseurs de contenus tiers d'excellente qualité sur Internet, certains fournisseurs peuvent utiliser ces applications pour envoyer par exemple des scripts dangereux à vos visiteurs. Veillez à ce que l'application que vous utilisez provienne d'une source fiable. Votre fournisseur a-t-il un site Web officiel avec un service d'assistance et ses coordonnées ? D'autres webmasters ont-ils déjà utilisé ce service ?
  • Contactez votre hébergeur ou plate-forme de publication pour recevoir de l'aide. La plupart des entreprises proposent des pages de sécurité ou des groupes d'aide réactifs et utiles. Si un site ou une page de sécurité contient un flux RSS, abonnez-vous pour vous tenir au courant des évolutions.
  • Sécurisez l'ensemble de vos ordinateurs. Lorsque vous travaillez sur un site Web, assurez-vous que le poste de travail local que vous utilisez est équipé de logiciels à jour, qu'il ne contient pas de virus, de chevaux de Troie ou d'autres logiciels malveillants, et qu'un antivirus à jour est installé.

Webmasters qui ont accès au serveur

  • Vérifiez la configuration de votre serveur. Le site d'Apache propose quelques conseils de sécurité en matière de configuration (en anglais). Microsoft, pour sa part, met à disposition des ressources techniques pour IIS sur son site Web. Certains de ces conseils traitent des autorisations de répertoire, des inclusions côté serveur, de l'authentification et du chiffrement.
  • Créez une copie de sauvegarde de votre fichier .htaccess, ou de tout autre mécanisme de contrôle d'accès, selon la plate-forme que vous utilisez pour votre site Web. Utilisez cette copie pour récupérer vos données si la procédure suivante ne fonctionne pas. N'oubliez pas de supprimer le fichier de sauvegarde lorsque vous avez terminé.
  • Veillez à installer les dernières versions des logiciels et les correctifs les plus récents. Il existe de nombreux outils qui permettent de concevoir un site facilement, mais chacun d'eux augmente les risques de piratage. Les webmasters tombent souvent dans le même piège : ils installent un forum ou un blog et ne s'en occupent pas par la suite. Comme pour la révision d'une voiture, vous devez vous assurer que vous disposez des dernières versions des logiciels que vous utilisez. Dressez la liste de l'ensemble des logiciels et des plug-ins utilisés sur votre site Web, et gardez une trace des numéros de version et des mises à jour. Même si vous restez prudent et si vous mettez régulièrement à jour les éléments de votre site Web, ce de peut rester vulnérable si votre hébergeur Web n'a pas installé les dernières mises à jour du système d'exploitation. Les sites de plus petite taille ne sont pas les seuls concernés. Des alertes se sont déjà produites sur des sites Web publics, de banques, d'équipes sportives et d'entreprises.
  • Consultez régulièrement vos fichiers journaux. Si vous prenez cette habitude, vous en tirerez de nombreux avantages, dont une sécurité renforcée. Par exemple, des paramètres d'URL inhabituels (tels que "=http:" ou "=//") ou encore des pointes de trafic sur les URL de redirection de votre site peuvent indiquer qu'un pirate informatique exploite vos redirections ouvertes. De même, n'oubliez pas que les pirates informatiques tentent souvent de modifier les fichiers journaux. Par conséquent, vous devez prendre des mesures pour protéger ces fichiers. Vous pouvez, par exemple, les déplacer dans un répertoire autre que celui par défaut, afin que les pirates aient plus de difficultés à les retrouver.
  • Recherchez les failles courantes qui peuvent être présentes sur votre site. Évitez d'utiliser des répertoires accessibles à tous. En effet, cela reviendrait à laisser la porte de votre domicile grande ouverte.

    Vérifiez également qu'aucune faille de type XSS (cross-site scripting) ou de type injection SQL n'est présente.

  • Utilisez des protocoles sécurisés. Nous vous recommandons d'utiliser les protocoles SSH et SFTP pour le transfert des données, plutôt que les protocoles qui utilisent du texte brut comme telnet ou FTP. SSH et SFTP utilisent un système de chiffrement et sont beaucoup plus sûrs. Pour obtenir d'autres informations utiles, consultez les Conseils relatifs au nettoyage et à la sécurisation des sites Web du site StopBadware.org (en anglais).
  • Tenez-vous au courant des dernières nouveautés en matière de sécurité. Notre blog relatif à la sécurité en ligne contient des informations utiles à ce sujet, ainsi que des liens vers d'autres sources d'information. Le site du gouvernement américain US-CERT (United States Computer Emergency Readiness Team) propose également des avertissements et des conseils techniques en matière de sécurité.
Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?